-
Junior Member
- Вес репутации
- 53
Заблокировано все, рабочий стол пуст (не связано с смс и баннерами)
Сабж, подхватили "интересный" вирус на семейный компьютер.
После загрузки показывается абсолютно пустой рабочий стол, в Моем компьютере нет ярлыков жестких дисков и всего оборудования.
Панель управления, диспетчер задач, проводник, реестр, командная строка - все заблокировано.
Обычные программы работают, включая антивирус (NOD 3 серии, базы 2 января 2010, т.е. свежие), ИЕ, Опера (через них выйти на жесткие диски, аналогично, не получается) тоже.
И через winrar невозможно выйти на жесткие диски.
Все папки заблокированы (выдается сообщение об ограничении доступа).
В Пуске даже отсутствует значок выключения/перезагрузки.
Интернет и сеть работают.
Что качалость/устанавливалось, естественно, никто не признается, соотвественно где была подхвачена зараза не ясно.
Если заходить через безопасный режим, то появляеться возможность выбора профиля - стандартного, созданного при установке системы, и нового "Администратор".
В Администраторе доступно почти все, что позволило сохранить важные файлы. В исходном же профиле, получается, полностью урезаны права на все, что можно.
Интернет не работает в безопасном режиме (пардон, не в курсе, работает ли он там вообще, даже когда вирусы отсутствуют).
При обычной загрузке интернет подлючается, через браузеры можно бороздить просторы интернета (но выполнить второй пункт из правил не удается - жесткие диски-то, со всеми программами, доступны лишь в безопасном режиме).
Винт подключался к ноутбуку через usb (внешний корпус) и сканировался каспером - безрезультатно.
В documents and settings есть только исходный профиль, нового, Администратора, нет. В нашем же разделе, в папке Рабочий стол ничего кроме пары-тройки ярлыков...
Объем свободного места на дисках не изменился (если и изменился, то незначительно).
Сканирование и лечение CureIt-ом не дало результатов...
Вот и возникает вопрос - как и чем лечить эту гадость?
Последний раз редактировалось GReddy32; 04.01.2010 в 00:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксте в HijackThis строку:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
ExecuteRepair(6);
DelCLSID('{DAABEC0C-6B0D-4006-8397-E4494A4B98E1}');
DeleteService('port135sik');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\windows\Fonts\Backup.exe','');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll','');
DelCLSID('{88888888-8888-8888-8888-888888888888}');
DelCLSID('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\msmedia.dll');
DeleteFile('C:\autorun.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip), сделайте новый лог HijackThis и приложите сюда.
-
-
+
Пофиксите в HijackThis еще и это:
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\msmedia.dll (file missing)
O2 - BHO: &Google - {AA58ED58-01DD-4D91-8333-CF10577473F7} - (no file)
O2 - BHO: Streaming Data Helper Object - {DAABEC0C-6B0D-4006-8397-E4494A4B98E1} - (no file)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Отключил восстановление, обновил avz, пофиксил, выполнил скрип.
Новые логи прилагаются, карантин тоже.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('port135sik');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт.
Лог прилагаю.
-
GReddy32, что с компьютером теперь, изменения есть?
-
-
Junior Member
- Вес репутации
- 53
К сожалению, подвижек к улучшению состояния "пациента" не наблюдается
Выполнял все вышеописанное...
-
-
-
Junior Member
- Вес репутации
- 53
Возможны лишь такие критические меры?
Если переустанавливать, необходимо ли форматировать оба раздела жесткого диска, или можно ограничиться разделом С?
-
Раз, все нужные данные вы сохранили, диск С лучше переформатировать.
-
-
Junior Member
- Вес репутации
- 53
Ясно.
Т.к. вариантов больше нет - действительно, осуществлю переустановку с полным форматирование раздела С.
Всем спасибо за поддержку и помощь, был крайне рад, обнаружив Ваш проект в интернете.
Ну и конечно же с Новым годом! =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-